Esta página foi traduzida pela API Cloud Translation.

Responder a descobertas de ameaças do Google Kubernetes Engine

Este documento oferece orientações informais sobre como responder a descobertas de atividades suspeitas nos seus recursos do Google Kubernetes Engine. As etapas recomendadas podem não ser adequadas para todas as descobertas e podem afetar suas operações. Antes de tomar qualquer medida, investigue os resultados, avalie as informações coletadas e decida como responder.

Não há garantias de que as técnicas neste documento sejam eficientes contra ameaças anteriores, atuais ou futuras. Para entender por que o Security Command Center não fornece orientações oficiais para a correção de ameaças, consulte Como corrigir ameaças.

Antes de começar

Analise a descoberta. Revise o recurso afetado do Google Kubernetes Engine, o e-mail principal detectado e o endereço IP do chamador (se houver). Revise também a descoberta para indicadores de comprometimento (IP, domínio, hash de arquivo ou assinatura).
Para saber mais sobre a descoberta que você está investigando, pesquise no Índice de descobertas de ameaças.

Recomendações gerais

Entre em contato com o proprietário do projeto que contém o recurso potencialmente comprometido.
Determine se há outros sinais de atividade maliciosa relacionados ao recurso afetado do GKE nos registros de auditoria no Cloud Logging.
Interrompa ou exclua o recurso comprometido do GKE e substitua-o por um novo.
Determine se há outros sinais de atividade maliciosa do principal nos registros de auditoria no Cloud Logging.
Se o principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da modificação para determinar a legitimidade.
Se o principal que realizou a ação não for uma conta de serviço, entre em contato com o proprietário da conta para confirmar se foi essa pessoa que realizou a ação.
Consulte as orientações sobre o princípio de privilégio mínimo para os papéis do RBAC e do cluster.

Além disso, considere as recomendações nas seções a seguir.

Binário ou biblioteca adicionada

Se o binário, script ou biblioteca adicionados deveriam ser incluídos no contêiner, recrie a imagem do contêiner com o binário, script ou biblioteca incluídos. Para informações sobre imagens de contêiner imutáveis, consulte Imagens de contêiner na documentação do Kubernetes.

Ameaças relacionadas a solicitações de assinatura de certificado (CSR) do Kubernetes

Analise os registros de auditoria no Cloud Logging e os outros alertas para outros eventos relacionados à CSR. Determine se a CSR foi aprovada e emitida e se as ações relacionadas a ela são esperadas do principal.
Se a aprovação de uma CSR não era esperada ou for considerada maliciosa, o cluster vai exigir uma rotação de credenciais para invalidar o certificado. Consulte as orientações sobre como mudar as credenciais do cluster.

Descobertas de ameaças para pods

Analise o arquivo de manifesto do pod e a finalidade dele. Verifique se o pod é legítimo e necessário.
Se o pod não for legítimo, remova-o com as vinculações do controle de acesso baseado em função (RBAC) e as contas de serviço associadas que a carga de trabalho usou.

A seguir

Saiba como trabalhar com descobertas de ameaças no Security Command Center.
Consulte o índice de descobertas de ameaças.
Saiba como analisar uma descoberta no console Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.